TL;DR: Artykuł opisuje obowiązek informacyjny z art. 14 RODO przy danych pozyskanych pośrednio, wyjątki, terminy oraz konieczność wskazania źródła i kategorii danych.
Klauzula informacyjna RODO (art. 14) – dane z innych źródeł
Klauzula informacyjna (art. 14 RODO) dotyczy sytuacji, w których pozyskujesz dane osobowe z innego źródła niż sama osoba — i właśnie dlatego łatwo tu o błąd. To może być baza kontrahentów B2B, polecenie od partnera, dane z rejestru publicznego, kontakt od pracownika klienta, lead sprzedażowy, cesja wierzytelności, a nawet numer telefonu znaleziony w stopce strony firmy. W art. 13 informujesz „na wejściu” — bo osoba sama podaje dane. W art. 14 jest inaczej: musisz poinformować w określonym terminie, a najpóźniej przy pierwszym kontakcie albo przy pierwszym ujawnieniu danych innemu odbiorcy. W tym Q&A pokazujemy art. 14 w wersji „dla praktyków”: kiedy obowiązek powstaje, co dokładnie trzeba przekazać, jak opisać źródło danych i kategorie danych, jak stosować podejście warstwowe (krótka informacja + pełna klauzula) oraz jak uniknąć typowych pułapek, które wracają w decyzjach UODO.
Materiał jest dla MŚP i zespołów operacyjnych (sprzedaż, marketing B2B, HR, windykacja, e-commerce, obsługa klienta). Bazujemy na art. 14 RODO oraz podejściu do przejrzystości z Wytycznych Grupy Roboczej art. 29 (warstwowość, jasny język, łatwy dostęp do informacji) i na wybranych decyzjach Prezesa UODO, w których brak prawidłowej informacji został uznany za naruszenie. To ma być tekst, który da się zastosować „na jutro” w realnym procesie.
Wróć do Ochrona danych w firmie
W skrócie — najważniejsze fakty
Pytania i odpowiedzi: klauzula informacyjna (art. 14 RODO)
1. Czym jest klauzula informacyjna z art. 14 RODO i kiedy ją stosuję?
Art. 14 RODO stosujesz, gdy przetwarzasz dane osobowe, których nie pozyskałeś bezpośrednio od osoby, której dane dotyczą. To typowe np. w B2B (dane kontaktowe pracowników kontrahenta), przy leadach sprzedażowych, w windykacji, przy cesji wierzytelności, w bazach kontrahentów, gdy dane pochodzą z rejestrów publicznych albo od partnera. Jeśli osoba sama podaje dane w formularzu lub w umowie — zwykle wchodzisz w art. 13 RODO.
2. Kiedy dokładnie muszę spełnić obowiązek informacyjny z art. 14? (terminy)
RODO przewiduje trzy „bezpieczniki czasowe”. Informację z art. 14 przekazujesz: (1) w rozsądnym terminie, nie później niż w ciągu 1 miesiąca od pozyskania danych; (2) jeśli planujesz kontakt z osobą — najpóźniej przy pierwszym kontakcie; (3) jeśli planujesz ujawnienie danych innemu odbiorcy — najpóźniej przy pierwszym ujawnieniu. W praktyce: jeśli dzwonisz lub piszesz do osoby, nie czekasz miesiąca — informujesz najpóźniej w pierwszej wiadomości/rozmowie (warstwowo: krótko + link do pełnej klauzuli).
3. Jakie źródła danych najczęściej „uruchamiają” art. 14?
Najczęstsze scenariusze to: (1) dane z rejestrów publicznych (np. dane kontaktowe do firmy / reprezentantów / pełnomocników, jeśli przetwarzasz je jako dane osobowe), (2) dane od partnera lub pośrednika (np. leady), (3) dane z relacji B2B — np. e-mail służbowy pracownika klienta przekazany przez jego przełożonego, (4) dane w procesach windykacyjnych i przy cesji, (5) dane z poprzednich relacji biznesowych (archiwalne bazy), (6) dane pozyskane z publicznych źródeł online — pod warunkiem, że przetwarzasz je jako dane osobowe i masz podstawę z art. 6 RODO.
4. Co art. 14 wymaga „twardo” — jakie elementy muszą się znaleźć w klauzuli?
Klauzula art. 14 powinna zawierać m.in.: (1) tożsamość administratora i dane kontaktowe; (2) dane kontaktowe IOD — jeśli wyznaczono; (3) cele przetwarzania i podstawy prawne (art. 6); (4) prawnie uzasadnione interesy — jeśli podstawą jest art. 6 ust. 1 lit. f; (5) kategorie danych osobowych (jeżeli dotyczy); (6) odbiorców danych lub kategorie odbiorców; (7) informację o przekazaniu poza EOG i zabezpieczenia — jeśli dotyczy; (8) okres przechowywania lub kryteria; (9) prawa osoby (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie — gdy ma zastosowanie); (10) prawo cofnięcia zgody — jeśli zgoda jest podstawą; (11) prawo skargi do Prezesa UODO; (12) źródło pochodzenia danych, a w stosownych przypadkach informację, czy pochodzą ze źródeł publicznie dostępnych; (13) informacje o zautomatyzowanym podejmowaniu decyzji/profilowaniu — jeśli występują.
5. Jak poprawnie opisać źródło danych, żeby nie skończyć na „z internetu”?
Źródło danych powinno być opisane uczciwie i konkretnie. Jeśli dane pochodzą z partnera — wskaż kategorię partnera (np. „nasz partner handlowy / pośrednik leadów”) albo nazwę, jeśli to uzasadnione i nie wprowadza w błąd. Jeśli dane pochodzą z rejestru — wskaż, że to rejestr publiczny lub oficjalne źródło. Jeśli dane pozyskałeś w ramach relacji B2B (np. od firmy-klienta) — napisz to wprost. Chodzi o to, żeby osoba rozumiała „skąd macie mój numer/e-mail” bez domyślania się.
6. Czy muszę informować każdą osobę z dużej, historycznej bazy?
Co do zasady — tak, jeśli przetwarzasz dane i nie zachodzi wyjątek z art. 14 ust. 5. W praktyce UODO oceniał przypadki, w których informacja nie dotarła do wszystkich osób objętych przetwarzaniem, jako naruszenie. To jest ważny „test rzeczywistości”: obowiązek informacyjny to nie tylko dokument na stronie, ale realne spełnienie go wobec osób, których dane są przetwarzane.
7. Kiedy obowiązek z art. 14 nie ma zastosowania? (wyjątki z art. 14 ust. 5)
Art. 14 ust. 5 przewiduje wyjątki, ale w praktyce trzeba je stosować ostrożnie i zawężająco. Przykładowo: gdy osoba już ma te informacje; gdy udzielenie informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku (zwykle przy przetwarzaniu do celów archiwalnych/badań/statystyki — i z dodatkowymi warunkami); gdy pozyskanie/ujawnienie jest wyraźnie uregulowane prawem; albo gdy dane muszą pozostać poufne na podstawie tajemnicy zawodowej. Jeśli korzystasz z wyjątku, warto mieć to uzasadnione i udokumentowane.
8. Marketing B2B a art. 14: czy muszę informować, jeśli mam służbowy e-mail?
RODO nie robi prostego podziału „konsument vs firma”. Jeżeli przetwarzasz dane osobowe (np. imię, nazwisko + e-mail służbowy, numer telefonu przypisany do konkretnej osoby), obowiązki informacyjne mogą mieć zastosowanie. Jeżeli pozyskałeś te dane nie od osoby, tylko np. z relacji B2B lub z publicznego źródła — analizujesz art. 14. Kluczowe jest też, żeby cele, podstawa prawna i prawa osoby były opisane jasno i „do znalezienia” bez polowania po stronie.
9. Czy klauzula art. 14 może być „jedna na całą firmę”?
Możesz mieć dokument bazowy, ale w praktyce art. 14 wymaga dopasowania do procesu i źródła danych. Inaczej wygląda klauzula dla leadów sprzedażowych, inaczej dla windykacji, inaczej dla danych z rejestrów publicznych. Najbardziej „wywracające” elementy to źródło danych, kategorie danych i termin spełnienia obowiązku. Jedna klauzula „na wszystko” często kończy się ogólnikami i ryzykiem, że osoba nie zrozumie, dlaczego w ogóle przetwarzasz jej dane.
10. Co z art. 22 i profilowaniem? Czy muszę to opisywać zawsze?
Informacja o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu (art. 22), jest wymagana wtedy, gdy takie decyzje rzeczywiście występują w rozumieniu RODO. Jeśli nie występują, możesz dodać krótkie zdanie „nie podejmujemy decyzji w sposób wyłącznie zautomatyzowany” — to nie zawsze obowiązkowe, ale praktycznie zmniejsza wątpliwości i liczbę pytań.
11. Jak art. 14 łączy się z prawem dostępu (art. 15) w praktyce?
Art. 14 buduje przejrzystość „na wejściu” do przetwarzania, a art. 15 pozwala osobie zweryfikować szczegóły: jakie dane, skąd, komu ujawniono, jak długo i w jakim celu. Jeśli w klauzuli art. 14 deklarujesz źródła, odbiorców i retencję, to w razie wniosku z art. 15 powinieneś umieć to praktycznie potwierdzić. To dobry test spójności procesu i dokumentów.
12. Co organ uznaje za realne naruszenie? (praktyka decyzji UODO)
W praktyce UODO nakazywał spełnienie obowiązku informacyjnego i wskazywał, że informacja ma obejmować konkretne elementy — m.in. cele, planowany okres przechowywania lub kryteria, źródło danych oraz informacje o odbiorcach/kategoriach odbiorców. W decyzjach dotyczących art. 14 widać podejście „operacyjne”: liczy się kompletność oraz to, czy informacja trafiła do osób, których dane są przetwarzane.
Kluczowe elementy art. 14: źródło danych, terminy i przejrzystość
Źródło danych i kategorie danych
W art. 14 to element „wyróżniający”. Wyjaśnij, skąd masz dane i jakie kategorie danych przetwarzasz. To zwykle pierwsza rzecz, której osoba realnie chce się dowiedzieć.
Terminy przekazania informacji
Art. 14 ma własną logikę czasu: do 1 miesiąca / przy pierwszym kontakcie / przy pierwszym ujawnieniu innemu odbiorcy. To trzeba umieć zastosować do procesu (sprzedaż, windykacja, HR, B2B).
Cele, podstawy prawne i uzasadniony interes
Cele opisuj prostym językiem, a podstawy dobieraj precyzyjnie. Przy art. 6 ust. 1 lit. f dopisz, na czym polega interes i pamiętaj o prawie sprzeciwu.
Prawa osoby, odbiorcy, retencja, UODO
Wymień realnych odbiorców lub kategorie, opisz retencję (konkret albo kryteria), wskaż kontakt oraz prawo skargi do Prezesa UODO. Te elementy są często oceniane w praktyce organu.
Wzory do skopiowania
Wzór „warstwy 1” (krótka informacja w pierwszym kontakcie – art. 14)
Administrator: [NAZWA FIRMY], [ADRES], kontakt: [E-MAIL].
Pozyskaliśmy Twoje dane z: [ŹRÓDŁO – np. rejestr publiczny / relacja B2B / partner handlowy / baza kontrahentów].
Przetwarzamy je w celu: [CEL – np. kontakt B2B / przedstawienie oferty / realizacja umowy / windykacja], na podstawie [PODSTAWA – art. 6 ust. 1 lit. f/b/c RODO].
Masz prawo dostępu do danych, sprostowania, usunięcia, ograniczenia, sprzeciwu (gdy podstawą jest lit. f) oraz skargi do Prezesa UODO.
Pełna informacja (art. 14 RODO): [LINK DO PEŁNEJ KLAUZULI / ROZWINIĘCIE].
Pełna klauzula informacyjna RODO (art. 14) – wzór do skopiowania
1. Administrator danych
Administratorem Twoich danych osobowych jest [NAZWA FIRMY] z siedzibą w [ADRES], NIP: [], REGON: []. Kontakt: [E-MAIL], [TEL.], [FORMULARZ].
2. Inspektor Ochrony Danych (jeśli wyznaczono)
Jeżeli wyznaczyliśmy Inspektora Ochrony Danych, możesz kontaktować się z nim w sprawach ochrony danych: [E-MAIL IOD]. (Jeżeli nie wyznaczono – usuń ten punkt.)
3. Skąd mamy Twoje dane (źródło danych) – art. 14 ust. 2 lit. f RODO
Twoje dane pozyskaliśmy z:
— [np. publicznie dostępnych rejestrów / relacji B2B z firmą, w której pracujesz / naszego partnera handlowego / bazy kontrahentów / cesji wierzytelności / polecenia].
W stosownych przypadkach: dane mogą pochodzić ze źródeł publicznie dostępnych.
4. Kategorie danych, które przetwarzamy (jeśli dotyczy)
Przetwarzamy następujące kategorie danych:
— dane identyfikacyjne (np. imię, nazwisko),
— dane kontaktowe (np. e-mail, numer telefonu),
— dane służbowe związane z reprezentacją lub kontaktem biznesowym,
— [opcjonalnie] dane dotyczące rozliczeń/umowy (np. numer zamówienia, historia kontaktu),
— [opcjonalnie] inne dane przekazane nam w korespondencji.
5. Cele i podstawy prawne przetwarzania (art. 6 RODO)
Twoje dane przetwarzamy w następujących celach:
a) Kontakt i prowadzenie komunikacji w relacji biznesowej (B2B) – art. 6 ust. 1 lit. f RODO (naszym uzasadnionym interesem jest nawiązywanie i utrzymywanie relacji biznesowych oraz obsługa zapytań).
b) Podjęcie działań przed zawarciem umowy lub wykonanie umowy – art. 6 ust. 1 lit. b RODO (jeżeli kontakt dotyczy zawarcia/realizacji umowy).
c) Wypełnienie obowiązków prawnych (np. podatkowych/rachunkowych) – art. 6 ust. 1 lit. c RODO (jeżeli dotyczy).
d) Ustalenie, dochodzenie lub obrona roszczeń – art. 6 ust. 1 lit. f RODO (naszym uzasadnionym interesem jest ochrona praw i możliwość dochodzenia roszczeń).
e) [opcjonalnie] Windykacja / obsługa należności – art. 6 ust. 1 lit. f RODO (uzasadniony interes: dochodzenie należności) lub art. 6 ust. 1 lit. c/b – zależnie od podstawy w danym procesie.
6. Odbiorcy danych
Twoje dane mogą być ujawniane:
— dostawcom usług IT i hostingu, narzędziom komunikacji oraz systemom CRM,
— podmiotom księgowym i doradczym (jeśli korzystamy),
— podwykonawcom pomagającym nam w realizacji usługi,
— organom publicznym, jeśli wymagają tego przepisy prawa,
— [opcjonalnie] operatorom płatności/bankom/kurierom – jeśli dotyczy procesu.
Dane nie są sprzedawane. Udostępniamy je wyłącznie w zakresie niezbędnym.
7. Przekazywanie danych poza EOG (jeśli dotyczy)
Jeżeli korzystamy z dostawców spoza EOG, dane mogą być przekazywane poza EOG wyłącznie na podstawie odpowiednich zabezpieczeń przewidzianych w RODO (np. standardowych klauzul umownych). [Wpisz, jeśli dotyczy, albo usuń.]
8. Okres przechowywania danych
Dane przechowujemy:
— przez czas prowadzenia relacji i obsługi sprawy / realizacji umowy,
— następnie przez okres wynikający z przepisów (np. rachunkowych/podatkowych) – jeśli dotyczy,
— oraz przez okres przedawnienia roszczeń, jeśli jest to potrzebne do obrony lub dochodzenia roszczeń.
Jeżeli nie da się wskazać jednej liczby, stosujemy kryteria: cel przetwarzania, przedawnienie roszczeń, obowiązki prawne i charakter relacji.
9. Twoje prawa
Przysługuje Ci prawo: dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO.
Masz także prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
10. Informacja o wymogu podania danych
Podanie danych jest dobrowolne, ale może być niezbędne do prowadzenia komunikacji lub realizacji umowy/obsługi sprawy. Niepodanie danych może skutkować brakiem możliwości kontaktu, przygotowania oferty lub realizacji usługi.
11. Zautomatyzowane podejmowanie decyzji / profilowanie
Twoje dane [nie podlegają / podlegają] zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu, o którym mowa w art. 22 RODO.
Jeżeli podlegają – opisz logikę, znaczenie i przewidywane konsekwencje. Jeżeli nie – pozostaw krótkie zdanie potwierdzające.
12. Kiedy spełniliśmy obowiązek informacyjny (praktyczna adnotacja – opcjonalnie)
Informację przekazujemy zgodnie z art. 14 RODO: w rozsądnym terminie (nie później niż w ciągu 1 miesiąca) lub najpóźniej przy pierwszym kontakcie / pierwszym ujawnieniu danych innemu odbiorcy – zależnie od sytuacji.
Moduły opcjonalne (dopasuj do procesu z art. 14)
A) Źródło danych – wariant „partner/pośrednik”
Dane pozyskaliśmy od [kategoria partnera/pośrednika], w związku z [kontekst]. W każdej chwili możesz zapytać o szczegóły źródła i zakres przetwarzania.
B) Źródło danych – wariant „rejestr publiczny”
Dane pozyskaliśmy z publicznie dostępnych rejestrów / źródeł oficjalnych, w zakresie udostępnionym publicznie.
C) Sprzeciw wobec marketingu bezpośredniego (jeśli lit. f + marketing)
Jeśli przetwarzamy dane do marketingu bezpośredniego na podstawie art. 6 ust. 1 lit. f RODO, możesz w każdej chwili wnieść sprzeciw — wtedy zaprzestaniemy takiego przetwarzania.
D) Transfer poza EOG (narzędzia chmurowe)
Dane mogą być przekazywane poza EOG wyłącznie przy zastosowaniu zabezpieczeń przewidzianych w RODO (np. SCC). Na żądanie udostępnimy informacje o zastosowanych zabezpieczeniach.
Jak spełnić obowiązek informacyjny RODO z art. 14 – krok po kroku
Krok 1. Ustal, czy to na pewno art. 14 (a nie art. 13)
Zadaj jedno pytanie: czy osoba sama podała dane w Twoim procesie (formularz, umowa, kontakt)? Jeśli tak — zwykle art. 13. Jeśli dane pochodzą z rejestru, od partnera, z bazy B2B, z cesji albo z polecenia — analizujesz art. 14.
Krok 2. Zidentyfikuj źródło i kategorie danych
Opisz jasno: skąd masz dane (rejestr publiczny, partner, relacja B2B, poprzednia relacja) oraz jakie kategorie danych przetwarzasz (np. identyfikacyjne, kontaktowe, służbowe, transakcyjne, dot. rozliczeń). Unikaj ogólników typu „z internetu”.
Krok 3. Ustal właściwy termin spełnienia obowiązku
Sprawdź, co nastąpi szybciej: 1 miesiąc od pozyskania danych, pierwszy kontakt z osobą, czy pierwsze ujawnienie danych innemu odbiorcy. W praktyce przy outreachu (e-mail/telefon) informujesz najpóźniej w pierwszej wiadomości (warstwowo).
Krok 4. Opisz cele i podstawy prawne „po ludzku”
Najpierw napisz, po co przetwarzasz dane (np. kontakt B2B, realizacja umowy, rozliczenia, windykacja, dochodzenie roszczeń), a dopiero potem dobierz podstawę z art. 6 (lit. b/c/f/a). Przy lit. f dopisz, na czym polega uzasadniony interes.
Krok 5. Uzupełnij odbiorców, retencję i prawa osoby
Wymień odbiorców lub kategorie odbiorców (IT/hosting, CRM, księgowość, kurier, kancelaria, operator płatności), opisz retencję (konkret albo kryteria) i prawa osoby, w tym sprzeciw przy lit. f oraz skargę do UODO.
Krok 6. Zastosuj warstwowanie (krótko + pełna klauzula)
W praktyce najbezpieczniej jest dać krótką warstwę w pierwszym kontakcie (kto, po co, podstawa, prawa, link) oraz pełną klauzulę pod linkiem. To spójne z podejściem do przejrzystości i realnie działa w sprzedaży/obsłudze.
Krok 7. Zrób test „czy osoba zrozumie skąd masz dane?”
Jeżeli po przeczytaniu klauzuli osoba nadal zapyta „skąd macie mój numer?” — doprecyzuj źródło i kontekst. Art. 14 ma działać jak wyjaśnienie, nie jak formalność.
Najczęstsze błędy w klauzulach art. 14 (i jak ich uniknąć)
Najczęstszy błąd to traktowanie art. 14 jak „kopii art. 13” — bez źródła danych i bez terminów. Drugi błąd to ogólniki: „dane z internetu” albo „przechowujemy zawsze”. Trzeci błąd to brak realnego dotarcia z informacją (np. klauzula jest tylko w polityce prywatności, a dane są w bazie od lat). Jeśli chcesz ograniczyć ryzyko: opisz źródło danych konkretnie, spełnij obowiązek w odpowiednim terminie (1 miesiąc / pierwszy kontakt / ujawnienie), a treść podaj warstwowo i prostym językiem.
Podstawa prawna i źródła
Najważniejsze odpowiedzi (dla wyszukiwarek)
Kiedy obowiązuje art. 14 RODO?
Gdy dane zebrano z innych źródeł niż osoba, której dotyczą (rejestr, partner, podmiot trzeci). Informację trzeba przekazać w rozsądnym terminie, maksymalnie miesiąc lub przy pierwszym kontakcie.
Jakie są wyjątki od obowiązku informacyjnego z art. 14?
Możliwe, gdy przekazanie informacji jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku, a przetwarzanie ma podstawę prawną. Decyzję trzeba uzasadnić i udokumentować.
Co dodać do klauzuli z art. 14 oprócz elementów z art. 13?
Źródło danych i kategorie danych pozyskanych pośrednio. Reszta elementów (administrator, cele, prawa, retencja, odbiorcy) pozostaje wymagana.